Se siete tra coloro che seguono attentamente le ultime notizie in materia di sicurezza informatica e Internet, non vi sorprenderà sapere che i sistemi “smart home” sono difficili da configurare e lasciano le case in cui sono installati con serie vulnerabilità di sicurezza.
Con il rischio di insultare la vostra intelligenza, vi devo dire che le “smart home” sono esattamente quello che dicono di essere: case intelligenti. Pensate agli “smart” phone, alle “smart” TV, alle “smart” auto. Oramai tutto è “intelligente”; persinoi sistemi di riscaldamento e di raffreddamento o dell’aria condizionata, i sistemi di illuminazione, i rilevatori di fumo e le chiusure delle porte lo sono. Tutti questi sistemi sono connessi alla rete di casa, e naturalmente a Internet, insieme a computer, telefoni, tablet e qualsiasi altro dispositivo collegato al Web. All’interno di questo sistema, gli utenti monitorizzano il loro funzionamento in remoto e gestiscono i sistemi delle loro case.
Alcuni ricercatori hanno riscontrato vulnerabilità in molti sistemi di sicurezza intelligenti, porte elettroniche e rilevatori di fumo (e tutto quello che è collegato a Internet). Di recente, i nostri colleghi di AV-Test.org hanno testato il funzionamento di sette “smart kit” per “case intelligenti” e hanno scoperto che quattro di loro sono poco sicuri.
I sette apparecchi intelligenti analizzati rappresentano solo un campione, forse non il più significativo o rappresentativo. Tuttavia, i dispositivi che secondo questo studio sono vulnerabili possono essere sfruttati durante attacchi, sia interni che – in certi casi – esterni. Questi attacchi possono essere diretti contro la rete di casa e i computer ad essa connessi, oppure possono avere come obiettivo la casa stessa e gli oggetti ivi contenuti.
AV-Test ha analizzato iConnect di eSaver, tapHome di EUROiSTYLE, Gigaset’s Elements, iComfort di REV Ritter, RWE’s Smart Home, QIVICON di Deutsche Telekom e XAVAX MAX! di Hama. Tra questi, AV-Test ha riscontrato che solo Gigaset, RWE e QIVICON dispongono di buone funzionalità “anti-hacking” e anti-accesso non autorizzato. I kit iComfort e tapHome contenevano vulnerabilità “sfruttabili”, ciò significa che un hacker avrebbe bisogno di trovarsi all’interno della casa per sfruttare i bug. Tuttavia, quel che è peggio è che le impostazioni iComfort e XAVAX MAX potrebbero essere sfruttare in remoto (come anche localmente).
Ogni prodotto offre un diverso set di funzionalità e caratteristiche. In linea generale, si tratta di sistemi di controllo del sistema elettrico, del riscaldamento e del sistema di sicurezza; sistemi di monitorizzazione delle finestre, delle porte e delle stanze; sistemi di controllo di prese elettriche con interruttori o sistemi per accedere la luce, attivare il riscaldamento o il sistema elettrico.
In parole povere, un hacker può manipolare i sistemi che si avvalgono di connessione e causare grandi danni (spegnendo il riscaldamento o danneggiando le tubature).
Comunque sia, la maggior parte degli hacker cercano principalmente soldi. Perciò, gli attacchi più probabili saranno quelli che sfruttano le debolezze di questi sistemi di gestione per ottenere dati di valore immagazzinati sulla rete domestica. Inoltre, è possibile che i dispositivi poco sicuri possano essere compromessi per monitorare le case e realizzare furti mirati. Un hacker scaltro potrebbe persino sbloccare le porte, aiutando così il ladro suo complice. AV-Test ha osservato che la diffusione di ransomware attraverso questi dispositivi potrebbe essere una tentazione per certi hacker. Sarà difficile in tal caso non pagare il riscatto (in inglese “ransom”, da qui ransomware) se la vostra intera casa venisse “bloccata” o smettesse di funzionare.
I laboratori di AV-Test si sono concentrati su: (1) se le comunicazioni tra dispositivi fossero criptate, o se (2) i kit richiedessero un’autenticazione attiva di default (accesso Web o fisico attraverso password) e se (3) siano vulnerabili a un attacco in remoto.
Le comunicazioni che passano attraverso i prodotti Gigaset, RWE e QIVICON sono criptate e secondo AV-Test sono sicuri. Anche iConnects cripta le sue comunicazioni, ma AV-Test afferma che il suo sistema di crittografia può essere facilmente bypassato. Gli altri prodotti oggetto dello studio, iComfort, tapHome e XAVAX MAX! hanno fallito nel test sulla criptografia.
Senza crittografia, tutte le comunicazioni che passano attraverso sistemi di gestione per smart home possono essere facilmente intercettate. Un hacker potrebbe quindi monitorare tutte le comunicazioni da e verso questi dispositivi, realizzare lo “spoofing” dei codici per manipolare le loro azioni o solo monitorare la situazione per poi estrapolare informazioni sugli abitanti della casa.
Senza crittografia, tutte le comunicazioni che passano attraverso sistemi di gestione per smart home possono essere facilmente intercettate.
Tweet
I prodotti iComfort non richiedono nessun tipo di autenticazione, il che significa che un hacker potrebbe lanciare facilmente un attacco basato su Web. I sistemi iConnect e XAVAX MAX! richiedono l’autenticazione per l’accesso web, ma non per l’accesso locale e fisico. I prodotti tapHome richiedono normalmente un’autenticazione interna; tuttavia, come sottolinea lo studio, questa misura è ad ogni modo irrilevante dato che i prodotti non adottano un sistema di crittografia. Gigaset Elements, RWE Smart Home e QIVICON adottano tutti l’autenticazione fisica e Web (oltre alla comunicazione sicura).
Tuttavia, ci sono anche buone notizie: AV-Test ritiene che se gli sviluppatori di questi prodotti iniziassero a sviluppare un solido concetto di sicurezza applicato ai loro prodotti (e non si preocuppassero solo di vendere), sarebbe possibile creare sistemi smart home sicuri. Ma le buone notizie di oggi sono due. Se state considerando l’idea di comprare uno di questi sistemi intelligenti per la vostra casa, AV-Test vi da un consiglio. Scegliete i sistemi che vogliono sempre l’autenticazione e che criptano sempre le comunicazioni.